Casa > cibernético Notícias > Cuidado com os usuários do Android: MysteryBot Trojan pode criptografar seus arquivos
CYBER NEWS

Usuários Android Beware: MysteryBot Trojan pode criptografar seus arquivos

imagem imagem sensorstechforum com MysteryBot Trojan Android

Os pesquisadores de segurança têm manchado outra ameaça perigosa que está a ser alvo de usuários móveis. O MysteryBot Trojan Android é o mais recente tática ofensiva contra dispositivos móveis como está sendo lançado em escala global. É classificado como uma ameaça crítica devido ao fato de que pode levar a modificações perigosas do sistema, muitos deles envolvendo a segurança e privacidade dos proprietários do dispositivo.

MysteryBot Android Trojan revelado: Métodos de infecção

O Trojan MysteryBot Android foi descoberto após uma investigação recente de um dropper malicioso que foi inicialmente usado para infectar alvos com o GandCrab ransomware. Aparentemente, os droppers faziam parte de uma rede de botnet que pode ser personalizada para entregar uma ampla gama de ameaças de computador - ambos vírus de desktop, ransomware, Trojans e malware móvel. A pesquisa mostra que está sendo usado por grupos criminosos que são conhecidos por alavancar todos os tipos de ameaças às suas vítimas..

A análise realizada mostra que os mesmos servidores controlados por hackers que alimentam o MysteryBot são responsáveis ​​pelo Trojan bancário LokiBot. Este fato pode significar que está sendo operado pelo mesmo coletivo criminoso.

Botnets geralmente enviam em massa mensagens de e-mail de SPAM que usam vários Engenharia social táticas que tentam coagir as vítimas a interagir com os elementos perigosos. Eles geralmente são ligado directamente às mensagens ou hiperlink nos conteúdos corporais. Esta onda de SPAM de e-mail em particular pode usar texto e gráficos retirados de empresas de software ou serviços populares para fazer o download dos arquivos infectados. Esta campanha em particular parece entregar duas versões falsificadas do Adobe Flash Player.




Recursos do cavalo de Troia MysteryBot Android

Uma vez que o Trojan MysteryBot Android infectou os dispositivos alvo, ele pode executar imediatamente um dos comandos integrados. Os pesquisadores de segurança conseguiram colher uma lista de todas as ações possíveis:

  • CallToNumber - Liga para um determinado número de telefone do dispositivo infectado.
  • Contatos - Obtém informações da lista de contatos (número de telefone e nome dos contatos).
  • The_Crypt - Nenhum código presente, em desenvolvimento (provavelmente descriptografa os dados / reverter o ransomware).
  • ForwardCall - Encaminha chamadas recebidas do dispositivo para outro número.
  • GetAlls - Abreviado para GetAllSms, copia todas as mensagens SMS do dispositivo.
  • Receber mensagens - Nenhum código presente, em desenvolvimento (provavelmente roubando e-mails do dispositivo infectado).
  • Keylogg - Copia e salva as teclas digitadas no dispositivo infectado.
  • ResetCallForwarding - Interrompe o encaminhamento de chamadas recebidas.
  • Bloqueio de tela - Criptografa todos os arquivos no diretório de armazenamento externo e exclui todas as informações de contato no dispositivo.
  • Send_spam - Envia uma determinada mensagem SMS para cada contato na lista de contatos do dispositivo.
  • Smsmnd - Substitui o gerenciador de SMS padrão no dispositivo, destinado à interceptação de SMS.
  • StartApp - Nenhum código presente, em desenvolvimento (provavelmente permite iniciar remotamente o aplicativo no dispositivo infectado).
  • USSD - Liga para um número USSD do dispositivo infectado.
  • dell_sms - Exclui todas as mensagens SMS do dispositivo.
  • Enviar SMS - Envia uma determinada mensagem SMS para um número específico.

A análise também mostra que o mecanismo subjacente é modular por natureza, permitindo que os operadores do hacker enviem comandos personalizados. Como as novas versões do sistema operacional Android (7 e 8) corrigiram a tática do hacker de criar sobreposições sobre aplicativos instalados pelo usuário - soluções de banco móvel, serviços de pagamento ou navegadores da web. Isso levou os desenvolvedores criminosos a pensar em uma nova solução que seja capaz de contornar as medidas de proteção do sistema. A nova técnica abusa de uma permissão de serviço chamada ESTATÍSTICAS DE USO DO PACOTE que pode ser acessado por meio da permissão do Serviço de acessibilidade. Como consequência, pode ativar e abusar de qualquer outra permissão sem o consentimento do usuário.

A análise de código realizada mostra que as cepas capturadas do Trojan MysteryBot Android contém um keylogger especialmente desenvolvido. Isso mostra que os hackers criaram um componente de vírus inteiramente novo. Isso torna muito difícil de detectar, pois sua assinatura pode não estar disponível para todas as soluções de segurança. Este componente também usa um abordagem não padrão em sequestrar as informações do usuário, criando um layout de grade das posições-chave do teclado. O algoritmo integrado funciona tanto para uso horizontal quanto vertical. No momento, parece que ainda está em fase de testes, pois um método de relatório ainda não foi implementado.

Ameaças adicionais do cavalo de Troia MysteryBot Android

O Trojan MysteryBot Android contém vários outros módulos que fazem parte de seu motor principal. Um dos principais é o ransomware embutido chamado Mystery_L0cker. Como seus equivalentes de desktop, permite que os criminosos habilitem uma operação de criptografia de arquivos que visa dados confidenciais do usuário. Ele segue um comportamento predefinido que consiste nas seguintes etapas:

  • O mecanismo de vírus verifica o sistema local em busca de arquivos de acordo com a lista interna de extensões de tipo de arquivo de destino.
  • Cada arquivo é colocado em um arquivo ZIP individual.
  • Uma senha é gerada pelo mecanismo em tempo de execução usando um algoritmo complexo.

Quando o processo de criptografia é concluído, uma mensagem de notificação é criada e apresentada às vítimas. Eles são chantageados pelas operadoras, mostrando-lhes uma mensagem de que têm assistido a materiais pornográficos. De acordo com a mensagem, as vítimas são chantageadas para que possam restaurar seus dispositivos enviando um e-mail para os hackers.

As instâncias instaladas do Trojan MysteryBot Android podem entrar em contato com um servidor controlado por hackers para acessar as instruções sobre como sobrepor certos aplicativos bancários. Isso é feito para enganar os usuários, dizendo que eles estão inserindo suas credenciais no próprio Trojan. Na lista parcial dos aplicativos de destino inclui as seguintes instâncias:

Easybank, VolksbankBanking, Bankwest, INGAustraliaBanking, NABMobileBanking, SuncorpBank, INGDirectFrance,
RaiffeisenSmartMobile, AkbankDirect, ANZAustralia, AOL-News Mail & Vídeo, AxisMobile-FundTransfer,UPI,Recarrega&Forma de pagamento,
BankAustriaMobileBanking, BankinterMóvil, BBVA Espanha, BBVANetcash PT, BendigoBank, BoursoramaBank, Banco, ChaseMobile,
CIBCMobileBanking®, CIC, Citibank Australia, FifthThirdMobileBanking, Crédito mútuo, CommBank, iMobilebyICICIBank, Gumtree:Procurar,
Comprar&Vender, Facebook, Facebook Messenger – TextandVideoChatforFree, QNBFinansbankMobileBranch, LaBanquePostale, GarantiMobileBanking,
GetinMobile, LloydsBankMobileBanking, Halifax:o aplicativo bancário que lhe dá mais, HSBCMobileBanking, BankofAmericaMobileBanking, RaiffeisenELBA,
CapitalOne®Mobile, CitiHandlowy, Kutxabank, MACIF-Essential para mim, Microsoft Outlook, Skrill, NETELLER, CreditduNordpourMobile, PayPal,
İşCep, Ruralvía, SBIAnywherePersonal, Skype, HDFCBankMobileBanking, Sparkasse + Finanças sob controle, SparkasseYour mobile branch,
SunTrustMobile, TDCanada, BancaMóvilLaboralKutxa, HalkbankMobil, BancolombiaAppPeople, UnionBankMobileBanking, USAAMobile,
Banco dos EUA, VakıfBankMobilBanking, ViberMessenger, WhatsAppMessenger, YahooMail – StayOrganized, YapıKrediMobile, AgricultureMobile,
comdirectmobileApp, CommerzbankBankingApp, Consorsbank, DKB-Banking, VR-Banking, Assistente de finanças do Postbank, SpardaApp,
Popular, Santander, Bankia, EVOBancomóvil, CaixaBank, BankPekao, PekaoBiznes24, MobileBank, HVBMobileB @ nking,
Banco Popular, MaBanque, MesComptes-LCLpourmobile, Banco móvel, BarodamPassbook, L'AppliSociétéGénérale,
SantanderMobileBanking, MesComptesBNPParibas, BankSAMobileBanking, BankofMelbourneMobileBanking, St.GeorgeMobileBanking,
WestpacMobileBanking, BZWBK24mobile, eurobankmobile, TokeniPKO, mBankPL, IKO , BancaTransylvania, IDBIBankGOMobile,
BankMillennium

Story relacionado: Dardesh Android bate-papo App pode ser espiando em você

Entrada de infecções por Trojan MysteryBot Android

Mesmo que o vírus seja considerável devido a seus muitos recursos e métodos de infiltração avançados. No entanto, alguns dos componentes incluídos ainda estão sendo desenvolvidos e os especialistas em segurança afirmam que é muito possível que versões futuras tenham um impacto ainda maior.

Um dos exemplos mais proeminentes é a adição de novas funcionalidades ao módulo de conexão de rede. Versões avançadas de Trojans móveis também podem adicionar a capacidade de espionar as vítimas em tempo real, bem como dados de colheita que podem identificar pessoalmente os usuários. Isso é possível procurando por strings que podem expor seus nomes, endereço, localização, interesses, número de telefone, senhas e credenciais de conta.

Outro possível desenvolvimento do Trojan MysteryBot Android é a inclusão de um vigilância componente. Isso permitiria aos operadores de hackers espionar os proprietários dos dispositivos a qualquer momento e também assumir o controle deles.

Como as infecções continuam a atingir alvos em todo o mundo, podemos ver as versões corrigidas. Todos os usuários do Android são aconselhados a ter extremo cuidado.

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo